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认证 机 构 依 据 ISO/IEC 27001:2013 实 施 
言 息 安全 管理 体系 认证 的 认可 转换 说 明 





0 背景 

0.1 当前 ， 我 国信 息 安全 管理 体系 (ISMS) 认证 的 认证 依据 是 GB/T 22080-2008 
《信息 技术 安全 技术 信息 安全 管理 体系 要 求 》 (IDT ISO/IEC 27001:2005) 。 
0.2 国际 标准 化 组 织 (ISO) 于 2013 年 10 月 1 日 发 布 了 ISO/IEC 27001:2013《 信 息 
技术 安全 技术 信息 安全 管理 体系 要 求 》。 该 标准 代替 了 ISO/IEC 27001:2005。 
0.3 我 国正 按照 等 同 采 用 的 原则 ， 巾 全国 信息 安全 标准 化 技术 委员 会 
(SAC/TC260) 负 责 将 ISO/IEC 27001:2013 转 换 为 国家 标准 (以 下 简称 “新 版 GB/T 
22080”) ， 以 代替 GB/T 22080-2008。 

0.4 2013 年 10 月 国际 认可 论坛 (IAF) 成 员 大 会 , 通过 了 有 关 ISO/IEC 27001:2013 
转换 的 决议 (编号 为 : IAF Resolution 2013-13) 。 该 决议 规定 : 1) 符合 ISO/IEC 
27001:2013 的 截止 日 期 为 该 标准 发 布 之 后 的 2 年 , 即 转换 截止 日 期 为 2015 年 9 月 30 
日 ; 2) 自 该 标准 发 布 一 年 后 〈 即 2014 年 10 月 { 日 ) ， 所 有 新 颁发 的 、 获 认可 的 认 
证 证 书 均 应 依据 ISO/IEC 27001:2013。 










































































1 目的 


为 确保 ISO/IEC 27001:2013 的 顺利 转换 ，CNAS 根 据 IAF 相 关 决 议 、 我 国 ISMS 
认证 认可 的 实际 情况 以 及 ISO/IEC 27001 新 旧版 本 之 间 的 变化 情况 ， 制 定 本 文件 。 


























2 转换 期 

2.1 作为 IAF 成 员 ，CNAS 需 执行 IAF 有 关 ISO/IEC 27001:2013 的 转换 决议 ( 见 0.4) 。 
2.2 需要 时 , CNAS 将 根据 国家 的 相关 法 规 要 求 和 新 版 GB/T 22080 的 实施 日 期 , 调整 
ISMS 认 可 证 书 和 ISMS 认 证 证 书 的 转换 截止 日 期 ， 并 通知 相关 方 。 

















3 认可 证 书 的 转换 
3.1 获 认可 的 认证 机 构 应 分 析 ISO/IEC 27001 新 旧版 本 之 间 的 差异 及 其 对 ISMS 认 证 
活动 的 影响 ， 并 调整 自身 的 管理 体系 ， 以 满足 ISMS 认 证 转换 的 需要 。 






























































发 布 日 期 :2014 年 06 月 20 实施 日 期 :2014 年 06 月 20 日 
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3.2 自 2014 年 9 月 1 日 至 2015 年 7 月 31 日 ，CNAS 将 结合 年 度 监督 或 复评 的 办 公 室 评 
审 ， 对 已 认可 的 ISMS 认 证 机 构 实施 转换 评审 。 如 有 需要 ， 认 证 机 构 也 可 向 CNAS 申 
请 专项 评审 ， 以 完成 转换 。 自 2015 年 8 月 1 日 以 后 ，CNAS 不 再 安排 针对 ISO/IEC 
27001:2013 转 换 的 现场 评审 工作 。 
3.3 在 转换 评审 时 , CNAS 将 关注 认证 机 构 针 对 ISO/IEC 27001:2013 转 换 所 采取 的 措 
施 ， 包 括 但 不 限于 : 

1) 对 ISO/IEC 27001 新 旧版 本 之 间 的 变化 及 其 影响 的 分 析 :; 

2) ISMS 能 力 分 析 评价 系统 的 调整 与 实施 , 包括 参与 审核 与 认证 过 程 的 各 类 人 员 

的 培训 和 能 力 评价 ; 

3) 自身 管理 体系 文件 的 修订 计划 及 实施 情况 ; 

4) 对 获 证 客户 的 转换 安排 及 实施 情况 ; 

5) 适用 时 , 针对 认证 机 构 认 证 业务 范围 的 行政 审批 、ISMS 审 核 员 执业 资格 注册 

等 合 规 性 问题 所 做 的 安排 。 

CNAS 评 审 组 将 评价 认证 机 构 所 采取 措施 的 适宜 性 、 充 分 性 和 有 效 性 (适当 时 )， 
并 在 认可 评审 报告 中 做 出 是 否 通 过 转换 评审 的 推荐 建议 。 
3.4 通过 CNAS 转 换 评审 的 认证 机 构 , 可 在 新 版 GB/T 22080 发 布 之 后 向 CNAS 提 出 更 
换 认 可 证 书 附件 的 书面 申请 。CNAS 将 为 其 换 发 依据 新 版 GB/T 22080 的 认可 证 书 附 
件 。 
3.5 在 更 换 认可 证 书 之 后 的 首次 办 公 室 评 审 ，CNAS 评 审 组 将 继续 跟 踊 认 证 机 构 针 对 
本 次 转换 所 采取 措施 的 实施 情况 。 



















































































4 已 认 可 的 认证 证 书 的 转换 
4.1 CNAS 鼓 励 获 认可 的 认证 机 构 尽 早 在 认证 审核 过 程 中 关注 获 证 客户 满足 ISO/IEC 
27001:2013 的 情况 。 
4.2 获 认 可 的 认证 机 构 可 以 结合 例 行 的 监督 审核 或 再 认证 审核 对 获 证 客户 进行 转换 
审核 ， 也 可 以 采取 专项 审核 的 方式 实施 转换 审核 。 此 外 ， 获 认可 的 认证 机 构 还 可 以 选 
择 在 完成 CNAS 认 可 转换 之 前 对 获 证 客户 实施 转换 审核 。 
4.3 在 获得 了 依据 新 版 GB/T 22080 的 认可 证 书 之 后 , 认证 机 构 方 可 在 CNAS 已 认可 的 
业务 范围 内 为 通过 转换 审核 的 获 证 组 织 换 发 带 有 CNAS 认 可 标识 的 、 依 据 新 版 GB/T 
22080 的 认证 证 书 。 
4.4 自 新 版 GB/T 22080 的 实施 日 期 起 , 所 有 新 颁发 的 .加 施 了 CNAS 认 可 标识 的 ISMS 
认证 证 书 均 应 依据 新 版 GB/T 22080。 

注 : 新 颁发 的 认证 证 书 ， 包 括 初次 认证 和 再 认证 所 颁发 的 认证 证 书 。 
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5 依据 GB/T 22080-2008 的 认可 申请 

















5.1 自 本 文件 发 布 之 日 起 ，CNAS 不 再 受理 依据 GB/T 22080-2008 的 初次 认可 或 扩大 
认可 领域 的 认可 申请 。 对 于 已 受理 的 申请 ，CNAS 将 在 评审 过 程 中 增加 ISO/IEC 
27001: 2013 转 换 的 评审 内 容 〈 详 见 本 文 “3. 认 可 证 书 的 转换 ”) 。 

5.2 自 本 文件 发 布 之 日 起 ，CNAS 不 再 受理 依据 GB/T 22080-2008 的 扩大 认可 业务 范 






































用 的 认可 申请 。 

















5.3 新 版 GB/T 22080 发 布 之 后 , CNAS 将 受到 














认可 申请 。 


6 其 他 








依据 新 版 GB/T 22080 实 施 ISMS 认 证 的 


6.1 CNAS 在 实施 转换 评审 时 将 适当 地 增加 评审 人 天 数 。 

6.2 在 认证 机 构 已 换 发 了 依据 新 版 GB/T 22080 的 认可 证 书 之 后 ， 或 在 新 版 GB/T 
22080 的 实施 日 期 之 后 ，CNAS 将 依据 新 版 GB/T 22080 进 行 见证 评审 。 

6.3 ISO 正 在 修订 ISO/IEC 27006:2011《 信 息 技术 安全 技术 信息 安全 管理 体系 审核 
认证 机 构 的 要 求 》。CNAS 将 在 新 版 ISO/IEC 27006 发 布 后 统一 修订 
CNAS-CC17:2012《 信 息 安全 管理 体系 认证 机 构 要 求 》 和 CNAS-SC18:2012《 信 息 


































































































安全 管理 体系 认证 机 构 认 可 方案 》。 在 此 之 前 ，CNAS-CC17:2012 和 
CNAS-SC18:2012 中 引用 GB/T 22080-2008 的 相关 内 容 ，CNAS 将 会 在 新 版 GB/T 














22080 发 布 之 后 的 认可 评审 中 按照 等 同 引 用 新 版 GB/T 22080 相 应 内 容 的 方式 处 理 。 



























































发 布 日 期 :2014 年 06 月 20 












































实施 日 期 :2014 年 06 月 20 
































